JP2008146213A - Device management device - Google Patents
Device management device Download PDFInfo
- Publication number
- JP2008146213A JP2008146213A JP2006330610A JP2006330610A JP2008146213A JP 2008146213 A JP2008146213 A JP 2008146213A JP 2006330610 A JP2006330610 A JP 2006330610A JP 2006330610 A JP2006330610 A JP 2006330610A JP 2008146213 A JP2008146213 A JP 2008146213A
- Authority
- JP
- Japan
- Prior art keywords
- device management
- state
- event
- function
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Medical Treatment And Welfare Office Work (AREA)
Abstract
Description
本発明は、デバイス管理装置、例えば、バッテリで駆動し、無線で外部と接続されるデバイス(例えば、モバイル端末)に対する所定の管理を行うデバイス管理装置に関する。 The present invention relates to a device management apparatus, for example, a device management apparatus that performs predetermined management for a device (for example, a mobile terminal) that is driven by a battery and is connected to the outside wirelessly.
従来、Smart-PhoneやPDAやノート型PC等、可搬性があり、かつ、ネットワークとの接続が可能なデバイス(例えば、モバイル端末)に対して、管理グループ(法人における管理者等)が、当該デバイスの状態や設定等を把握して、当該デバイスに対する適切な管理(デバイス管理)を行うことを可能とする装置(すなわち、デバイス管理装置)が、「OMA Device Management(DM)」として、「Open Mobile Alliance(OMA)」で規定されている。 Conventionally, a management group (such as an administrator in a corporation) has been assigned to a device (for example, a mobile terminal) that is portable and can be connected to a network, such as a smart phone, a PDA, or a notebook PC. An apparatus (that is, a device management apparatus) capable of grasping a device state and setting and performing appropriate management (device management) for the device is referred to as “OMA Device Management (DM)” as “Open”. It is defined in “Mobile Alliance (OMA)”.
OMA-DMでは、DMサーバと、デバイスに導入されたDMクライアントとの通信によって、上述のデバイス管理を実現することができる。 In OMA-DM, the above-described device management can be realized by communication between a DM server and a DM client installed in a device.
例えば、各DMクライアントが、デバイスにて駆動しているファームウェアのバージョンを、DMサーバに対して通知し、当該DMサーバが、かかる通知に基づいてバージョンの低いファームウェアを持つデバイスを発見し、当該デバイスに対して適切なファームウェアのアップデートを指示するためのコマンドを、当該デバイスに導入されているDMクライアントに通知する。 For example, each DM client notifies the DM server of the version of the firmware being driven by the device, and the DM server discovers a device having a lower version firmware based on the notification, and the device The DM client installed in the device is notified of a command for instructing appropriate firmware update.
モバイルアプリケーションサービスの適用範囲が拡大を遂げるにつれ、デバイスそのものや、デバイスを取り巻く環境の多様性が増している。このことから、デバイスの状態や設定の追跡が困難になり、上述のデバイス管理に掛かるコストが非常に高くなってしまう。このような市場の要求に対して、より柔軟に、かつ、コストパフォーマンスの高いデバイス管理の仕組みが求められている。 As the application range of mobile application services expands, the diversity of devices and the environment surrounding them has increased. For this reason, it becomes difficult to track the state and settings of the device, and the cost for the above-described device management becomes very high. In response to such market demands, there is a need for a device management mechanism that is more flexible and has high cost performance.
後述する非特許文献1では、DMサーバのネットワークオペレーションコストを低減するために、「DMスケジューリング」が規定されている。
In
かかるDMスケジューリングでは、デバイスが、オフライン(すなわち、DMサーバとのセッションがない状態)で、デバイス管理の処理を行えるように、DMサーバが、当該デバイスに導入されているDMクライアントが処理可能なデバイス管理機能のタスクスケジュールを、当該DMクライアントに事前に通知できるアーキテクチャが記載されており、当該アーキテクチャや、当該アーキテクチャに含まれるコンポネントの機能や、当該コンポネント間のインタフェースや、管理オブジェクトのデータ構造や、スケジュール処理を実行する条件等について規定されている。 In such DM scheduling, a device that can be processed by a DM client installed in the device so that the DM server can perform device management processing offline (that is, in a state where there is no session with the DM server). The architecture that can notify the DM client in advance of the task schedule of the management function is described. The architecture, the function of the component included in the architecture, the interface between the component, the data structure of the management object, It defines the conditions for executing the schedule process.
かかるアーキテクチャでは、各デバイスに、スケジューラを設け、当該スケジューラが、タスクスケジュールに基づいて、デバイス管理を実現するように構成されている。
上述のように、非特許文献1によれば、DMサーバとDMクライアントとの間のセッションがない状態でも、DMスケジューラによってデバイス管理を行うことが可能である。
As described above, according to Non-Patent
しかしながら、DMサーバ又はDMクライアントの状態が変化し、上述のスケジューラが、デバイス管理を行うトリガとなるイベントを検知できない状況や、当該イベントの検出結果に応じたデバイス管理を実行することができない状況がある。 However, there are situations in which the status of the DM server or DM client changes, and the above-described scheduler cannot detect an event that triggers device management or cannot perform device management according to the detection result of the event. is there.
例えば、かかる状況としては、デバイスの電源断やネットワーク品質の劣化やDMサーバのダウン等が発生した状況が想定される。このような状況の場合、タスクスケジュールを適切に処理することができず、デバイス管理を適切に行うことができないという問題点があった。 For example, such a situation is assumed to be a situation in which a device is powered off, network quality is degraded, a DM server is down, or the like. In such a situation, there is a problem that the task schedule cannot be processed properly and device management cannot be performed properly.
したがって、かかる状況下では、各デバイスにおいて、上述のデバイス管理を適切に行うことができなくなる直前に、強制的に特別なデバイス管理機能を実行して、かかるデバイス管理を適切に行うことができない間の不正や不具合を監視して防止する必要がある。 Therefore, in such a situation, immediately before the above device management cannot be properly performed in each device, a special device management function is forcibly executed so that the device management cannot be performed properly. It is necessary to monitor and prevent fraud and malfunctions.
また、各デバイスにおいて、かかるデバイス管理を適切に行うことができる状況に復旧した場合(電源投入やネットワーク品質の良好化やDMサーバの復旧等)には、早急に本来あるべきデバイス状態に復元する必要がある。 In addition, when each device is restored to a state where such device management can be performed properly (power-on, network quality improvement, DM server restoration, etc.), the device state should be restored to the original state as soon as possible. There is a need.
そこで、本発明は、上述の課題に鑑みてなされたものであり、デバイス管理を適切に行うことができない間の不正や不具合を監視して防止すると共に、かかるデバイス管理を適切に行うことができる状況に復旧した場合に、本来あるべきデバイス状態への早急な復元を可能とするデバイス管理装置を提供することを目的とする。 Therefore, the present invention has been made in view of the above-described problems, and can monitor and prevent fraud and malfunction while device management cannot be properly performed, and can appropriately perform such device management. It is an object of the present invention to provide a device management apparatus that enables quick restoration to the original device state when the situation is restored.
本発明の第1の特徴は、デバイス管理装置であって、デバイス内に設けられているデバイス管理機能を実行することによって、該デバイスに対する所定の管理を行うデバイス管理実行部と、特定のデバイス管理イベントを検出するイベント検出部とを具備し、前記デバイス管理実行部は、前記特定のデバイス管理イベントの検出結果と、デバイス状態とに応じて、実行すべき前記デバイス管理機能を決定することを要旨とする。 A first feature of the present invention is a device management apparatus, which executes a device management function provided in a device, thereby performing a predetermined management for the device, and a specific device management An event detection unit for detecting an event, wherein the device management execution unit determines the device management function to be executed according to a detection result of the specific device management event and a device state. And
本発明の第1の特徴において、前記特定のデバイス管理イベントの検出結果に応じて、前記デバイス状態を設定する状態設定部と、前記デバイス管理機能を特定する複数のデバイス管理ポリシーの中から、前記状態設定部により設定されている前記デバイス状態と、前記特定のデバイス管理イベントの検出結果とに応じて、使用すべきデバイス管理ポリシーを設定するポリシー管理部とを具備し、前記デバイス管理実行部は、前記ポリシー管理部により設定されている前記使用すべきデバイス管理ポリシーによって特定されるデバイス管理機能を、前記実行すべきデバイス管理機能として決定してもよい。 In the first feature of the present invention, the state setting unit that sets the device state according to the detection result of the specific device management event, and the plurality of device management policies that specify the device management function, A policy management unit configured to set a device management policy to be used in accordance with the device status set by the status setting unit and a detection result of the specific device management event, and the device management execution unit includes: The device management function specified by the device management policy to be used set by the policy management unit may be determined as the device management function to be executed.
かかる発明によれば、状態設定部が、デバイス管理イベントの検出結果に応じて、様々なデバイス状態を設定し、デバイス管理実行部が、かかるデバイス状態に応じて、様々なデバイス管理ポリシーに応じたデバイス管理を実行することが可能である。 According to this invention, the state setting unit sets various device states according to the detection result of the device management event, and the device management execution unit responds to various device management policies according to the device state. It is possible to perform device management.
本発明の第1の特徴において、前記デバイス状態が、第1の状態である際に、前記イベント検出部が、第1のデバイス管理イベントを検出した場合、前記状態設定部は、該デバイス状態を該第1の状態のまま保持し、前記デバイス状態が、前記第1の状態である際に、前記イベント検出部が、第2のデバイス管理イベントを検出した場合、前記状態設定部は、該デバイス状態を第2の状態に設定し、前記ポリシー管理部は、該第2の状態用のデバイス管理ポリシーを前記使用すべきデバイス管理ポリシーとして設定してもよい。 In the first feature of the present invention, when the event detection unit detects a first device management event when the device state is the first state, the state setting unit displays the device state. When the event detection unit detects a second device management event when the device state is the first state and the device state is the first state, the state setting unit The state may be set to a second state, and the policy management unit may set the device management policy for the second state as the device management policy to be used.
本発明の第1の特徴において、前記デバイス状態が、前記第1の状態である際に、前記イベント検出部が、前記第2のデバイス管理イベントを検出した場合、前記デバイス管理実行部は、前記使用すべきデバイス管理ポリシーとして設定されている前記第2の状態用のデバイス管理ポリシーにより特定される第2のデバイス管理機能を実行してもよい。 In the first aspect of the present invention, when the device state is the first state, and the event detection unit detects the second device management event, the device management execution unit The second device management function specified by the device management policy for the second state set as the device management policy to be used may be executed.
かかる発明によれば、デバイス管理実行部が、検知されたデバイス状態の遷移に合致したデバイス管理ポリシーにより特定されるデバイス管理機能を実行することが可能となる。 According to this invention, the device management execution unit can execute the device management function specified by the device management policy that matches the detected device state transition.
本発明の第1の特徴において、前記デバイス状態が、第1の状態である際に、前記デバイス管理実行部は、前記使用すべきデバイス管理ポリシーとして設定されている前記第1の状態用のデバイス管理ポリシーにより特定される第1のデバイス管理機能を実行し、前記ポリシー管理部は、前記第1の状態用のデバイス管理ポリシーにより特定される第1のデバイス管理機能に応じて、前記第2の状態用のデバイス管理ポリシーにより特定すべき前記第2のデバイス管理機能を決定してもよい。 In the first aspect of the present invention, when the device state is the first state, the device management execution unit sets the device for the first state set as the device management policy to be used. The policy management unit executes a first device management function specified by a management policy, and the policy management unit executes the second device according to the first device management function specified by the device management policy for the first state. The second device management function to be specified may be determined by a state device management policy.
かかる発明によれば、デバイス状態の変化前に実行されていたデバイス管理機能及び発生したデバイス状態の変化の両方を考慮した柔軟なデバイス管理を行うことが可能となる。 According to this invention, it becomes possible to perform flexible device management in consideration of both the device management function executed before the change of the device state and the change of the generated device state.
本発明の第1の特徴において、前記デバイス状態が、前記第1の状態である際に、前記イベント検出部が、前記第2のデバイス管理イベントを検出した後、一定時間内に、前記第1のデバイス管理イベントを検出しなかった場合にのみ、前記状態設定部は、該デバイス状態を第2の状態に設定してもよい。 In the first aspect of the present invention, when the device state is the first state, the event detection unit detects the second device management event and then the first state within a certain time. Only when the device management event is not detected, the state setting unit may set the device state to the second state.
かかる発明によれば、検出されたデバイス管理イベントが、バッテリの低下やネットワーク回線断であったような場合に、モバイル端末等のデバイスにおいて発生しがちな一時的なバッテリの低下やネットワーク回線断といったデバイス管理イベントを無視して、デバイス管理に掛かるコストを削減することが可能となる。 According to this invention, when the detected device management event is a battery low or a network line disconnection, such as a temporary battery decrease or a network line disconnection that is likely to occur in a device such as a mobile terminal. By ignoring device management events, it is possible to reduce the cost of device management.
本発明の第1の特徴において、前記第2のデバイス管理機能は、前記デバイスにおける特定の機能を使用不可能とする機能であってもよい。 In the first feature of the present invention, the second device management function may be a function that disables a specific function in the device.
かかる発明によれば、例えば、デバイス管理機能の実行が著しく制限されるようなデバイス状態において、特定の機能を使用不可能とすることで、不正行為や不具合等を防ぐことが可能となる。 According to this invention, for example, in a device state in which the execution of the device management function is remarkably restricted, it is possible to prevent an illegal act or a malfunction by disabling a specific function.
本発明の第1の特徴において、前記第1のデバイス管理機能は、特定の状況において使用可能又は使用不可能となる機能であってもよい。 In the first aspect of the present invention, the first device management function may be a function that can be used or disabled in a specific situation.
かかる発明によれば、例えば、第1のデバイス管理機能が、デバイスの特定の機能を、特定の状況に応じて、使用可能になったり使用不可能となったりするような制限機能である場合、デバイス管理機能の実行が不可能なデバイス状態となり、上述の特定の状況を検知できない場合に,当該第1のデバイス管理機能を予め使用不可能としておいて、最も制限の厳しいデバイス管理を行う状態を維持することが可能となる。 According to this invention, for example, when the first device management function is a limiting function that enables or disables a specific function of a device depending on a specific situation. When a device state in which the device management function cannot be executed is detected and the above-described specific situation cannot be detected, the state where the first device management function is disabled in advance and the most restrictive device management is performed. Can be maintained.
本発明の第1の特徴において、前記第2のデバイス管理機能は、前記デバイスにおける特定の情報を保護する機能であってもよい。 In the first feature of the present invention, the second device management function may be a function for protecting specific information in the device.
かかる発明によれば、例えば、デバイス管理機能の実行が著しく制限されるようなデバイス状態において、特定の情報を保護することで、デバイスからの情報流出等を防ぐことが可能となる。 According to this invention, for example, it is possible to prevent information leakage from the device by protecting specific information in a device state in which execution of the device management function is significantly restricted.
本発明の第1の特徴において、前記デバイス状態が、前記第2の状態である際に、前記イベント検出部が、第3のデバイス管理イベントを検出した場合、前記デバイス管理実行部が、前記使用すべきデバイス管理ポリシーとして設定されている前記第2の状態用のデバイス管理ポリシーにより特定されている第3のデバイス管理機能を実行した後、前記状態設定部が、該デバイス状態を前記第1の状態に設定し、前記ポリシー管理部は、前記第1の状態用のデバイス管理ポリシーを前記使用すべきデバイス管理ポリシーとして設定してもよい。 In the first feature of the present invention, when the device state is the second state, the device management execution unit detects the usage when the event detection unit detects a third device management event. After executing the third device management function specified by the device management policy for the second state set as the device management policy to be performed, the state setting unit sets the device state to the first device management policy. The policy management unit may set the device management policy for the first state as the device management policy to be used.
かかる発明によれば、第3のデバイス管理イベントを検知したことにより、デバイス状態を復元する際、まず、その時点において設定されているデバイス管理ポリシーに従ったデバイス管理機能を実行し、その上でデバイス状態を元通りに設定するように構成されているため、デバイス状態を元に戻す前に、デバイス状態を復元するための特別なデバイス管理機能を実行することが可能となる。 According to this invention, when restoring the device state by detecting the third device management event, first, the device management function according to the device management policy set at that time is executed, and then Since the device state is set to the original state, a special device management function for restoring the device state can be executed before the device state is restored.
本発明の第1の特徴において、前記第3のデバイス管理機能は、前記デバイス状態が、前記第2の状態である間に使用不可能となっていた前記デバイスにおける特定の機能を使用可能とする機能であってもよい。 In the first aspect of the present invention, the third device management function can use a specific function in the device that has been disabled while the device state is the second state. It may be a function.
かかる発明によれば、デバイス状態が変化することにより使用不可能となっていた当該デバイス管理機能を再び使用可能とすることが可能となる。 According to this invention, the device management function that has been disabled due to a change in the device state can be used again.
本発明の第1の特徴において、前記第3のデバイス管理機能は、前記デバイスにおける特定の情報を復元する機能であってもよい。 In the first feature of the present invention, the third device management function may be a function of restoring specific information in the device.
かかる発明によれば、デバイス状態が変化することによりアクセスすることが不可能となっていた特定の情報に再びアクセスすることが可能となる。 According to this invention, it becomes possible to access again specific information that has become impossible to access due to a change in the device state.
本発明の第1の特徴において、イベント蓄積部は、前記イベント検出部により検出された前記第1のデバイス管理イベントを蓄積しており、前記第2の状態は、前記イベント検出部によって前記デバイス管理イベントを検出することができない状態であり、前記第3のデバイス管理機能は、少なくとも、前記イベント蓄積部に蓄積されている前記第1のデバイス管理イベントに対するデバイス管理機能を含んでいてもよい。 In the first aspect of the present invention, an event accumulation unit accumulates the first device management event detected by the event detection unit, and the second state is determined by the event detection unit. An event cannot be detected, and the third device management function may include at least a device management function for the first device management event stored in the event storage unit.
本発明の第1の特徴において、イベント蓄積部は、前記デバイス状態が前記第2の状態にある場合に前記イベント検出部により検出された前記第1のデバイス管理イベントを蓄積しており、前記イベント検出部が、前記第3のデバイス管理イベントを検出し、前記状態設定部が、前記デバイス状態を前記第1の状態に設定し、前記ポリシー管理部が、前記第1のデバイス管理ポリシーを前記使用すべきデバイス管理ポリシーとして設定した場合に、前記デバイス管理実行部は、前記イベント蓄積部に蓄積されている前記第1のデバイス管理イベントに応じて、前記実行すべきデバイス管理機能を決定してもよい。 In the first aspect of the present invention, the event accumulation unit accumulates the first device management event detected by the event detection unit when the device state is in the second state, and the event The detection unit detects the third device management event, the state setting unit sets the device state to the first state, and the policy management unit uses the first device management policy. When the device management policy is set, the device management execution unit may determine the device management function to be executed according to the first device management event stored in the event storage unit. Good.
かかる発明によれば、デバイス管理イベントの検出が不可能となるようなデバイス状態の変化が発生した場合に、イベント蓄積部により蓄積されている、デバイス状態が第2の状態である期間に発生していた第1のデバイス管理イベントを参照することで、デバイス状態を第1の状態に復元する際に実行するデバイス管理機能は、かかる期間に発生していた第1のデバイス管理イベントに応じたデバイス管理機能を実行するように構成されているため、かかる期間に行われるはずであったデバイス管理機能の実行が可能となり、より正確にデバイス状態を復元することが可能となる。 According to this invention, when a change in device state that makes it impossible to detect a device management event occurs, it occurs during the period in which the device state is stored in the event storage unit and the device state is in the second state. The device management function that is executed when the device state is restored to the first state by referring to the first device management event that has been received is the device corresponding to the first device management event that has occurred during the period Since the management function is configured to be executed, it is possible to execute the device management function that should have been performed during this period, and to restore the device state more accurately.
本発明の第1の特徴において、前記イベント蓄積部は、複数の前記第1のデバイス管理イベントをまとめて別の第1のデバイス管理イベントに変更してもよい。 In the first aspect of the present invention, the event storage unit may change a plurality of the first device management events into another first device management event.
かかる発明によれば、デバイス状態が第2の状態である期間に発生していた第1のデバイス管理イベントを蓄積するイベント蓄積部が、蓄積されている第1のデバイス管理イベントの意味を理解し、当該第1のデバイス管理イベントの集合を、同じ意味を持つ別の第1のデバイス管理イベントへ変換するように構成されているため、イベント蓄積部に蓄積されている第1のデバイス管理イベントをまとめて、より少ないデバイス管理イベントへに変換することにより、第1のデバイス管理イベントの蓄積コスト、及び、デバイス状態の復元時におけるデバイス管理機能の実行コストを削減することが可能となる。 According to this invention, the event storage unit that stores the first device management event that has occurred during the period in which the device state is the second state understands the meaning of the stored first device management event. Since the first device management event set is converted to another first device management event having the same meaning, the first device management event stored in the event storage unit is Collectively, by converting into fewer device management events, it is possible to reduce the storage cost of the first device management event and the execution cost of the device management function when restoring the device state.
本発明の第1の特徴において、前記デバイス状態が前記第1の状態から前記第2の状態に遷移する直前の管理状況と、該デバイス状態が該第2の状態から該第1の状態に遷移する直前の管理状況との間で変化があった場合、前記デバイス管理実行部は、前記第3のデバイス管理機能を実行してもよい。 In the first aspect of the present invention, the management status immediately before the device state transitions from the first state to the second state, and the device state transitions from the second state to the first state. The device management execution unit may execute the third device management function when there is a change between the management status immediately before the operation.
かかる発明によれば、デバイス状態が第2の状態から第1の状態に移行する際、第2の状態中に管理状況が変化した場合にのみ、第3のデバイス管理機能を実行することができ、デバイス管理機能の実行コストを削減することが可能となる。 According to this invention, when the device state transitions from the second state to the first state, the third device management function can be executed only when the management state changes during the second state. It is possible to reduce the execution cost of the device management function.
本発明の第1の特徴において、前記第1の状態は、前記デバイスに対する前記所定の管理を行うことが可能な状態であり、前記第2の状態は、前記デバイスに対する前記所定の管理を行うことが不可能な状態であってもよい。 In the first aspect of the present invention, the first state is a state capable of performing the predetermined management for the device, and the second state performs the predetermined management for the device. May not be possible.
かかる発明によれば、通常のデバイス管理を行うことが困難な特殊なデバイス状態において、特殊なデバイス管理ポリシーを設定し、かかるデバイス状態用の特殊なデバイス管理を実行可能となる。 According to this invention, in a special device state where it is difficult to perform normal device management, it is possible to set a special device management policy and execute special device management for the device state.
以上説明したように、本発明によれば、デバイス管理を適切に行うことができない間の不正や不具合を監視して防止すると共に、かかるデバイス管理を適切に行うことができる状況に復旧した場合に、本来あるべきデバイス状態への早急な復元を可能とするデバイス管理装置を提供することができる。 As described above, according to the present invention, when the device management can be performed properly, monitoring and preventing fraud and malfunctions can be performed, and when the device management can be performed properly, Thus, it is possible to provide a device management apparatus that enables quick restoration to the original device state.
(本発明の第1の実施形態に係るデバイス管理装置の構成)
図1乃至図6を参照して、本発明の第1の実施形態に係るデバイス管理装置1000の構成について説明する。
(Configuration of device management apparatus according to the first embodiment of the present invention)
The configuration of the
本実施形態に係るデバイス管理装置1000は、Smart-PhoneやPDAやノート型PC等、可搬性があり、かつ、ネットワークとの接続が可能なデバイス(例えば、モバイル端末)に対して、管理グループ(法人における管理者等)が、当該デバイスの状態や設定等を把握して、当該デバイスに対する所定の管理(以下、デバイス管理)を行うことを可能とする装置(すなわち、デバイス管理装置)である。
The
具体的には、本実施形態に係るデバイス管理装置1000は、デバイス管理イベント2100を検出し、デバイス管理ポリシー2200に応じて、デバイス管理機能2300を実行する装置である。
Specifically, the
なお、デバイス管理装置1000は、デバイスの状態やデバイスを取り巻く状況が変化してデバイス管理を適切に行うことができない状況になった場合、強制的に特別なデバイス管理機能を実行し、デバイス内における不正や不具合を監視して防止し、デバイス管理を適切に行うことができない状況からデバイス管理を適切に行うことができる状況に復旧した場合、本来あるべきデバイス管理の状態に復元するように構成されている。
Note that the
本実施形態では、図1及び図2を参照して、企業管理部門が、社員のデバイス20における外部記録媒体(miniSDカード等)100の利用を管理するという「デバイス管理」を行うために、デバイス20から外部記録媒体100へのアクセスログを収集するケースにおいて、ネットワーク300が途中で切断されるか、或いは、DMサーバ10がダウンするかによって、かかるデバイス管理を適切に行うことができない場合について説明するものとする。
In the present embodiment, referring to FIG. 1 and FIG. 2, the device is used for the “device management” in which the company management department manages the use of the external recording medium (miniSD card or the like) 100 in the
ここで、本実施形態では、デバイスとして、Smart-Phoneが用いられるものとする。 Here, in the present embodiment, it is assumed that Smart-Phone is used as the device.
図1を参照して、上述のデバイス管理が適切に行われている場合の例について説明する。かかる例では、企業管理部門が、デバイス20に対するデバイス管理を行うために、所有するDMサーバ10を利用して、デバイス20から外部記録媒体100へのアクセスログの収集を行うものとする。
An example in which the above-described device management is appropriately performed will be described with reference to FIG. In such an example, it is assumed that the company management department collects access logs from the
ここで、社員の持つデバイス20は、DMサーバからの指示に従うクライアントソフト(すなわち、DMエージェント)を備えており、デバイス管理装置100を利用して、一定時間毎に、或いは、特定業務実行時等に、外部記録媒体100へのアクセスを監視して履歴(アクセスログ)を取得する監視機能(デバイス管理機能)32、及び、ネットワーク300(セルラー回線や無線LAN等)を介してDMサーバ10にアクセスログを報告する報告機能(デバイス管理機能)33を実行する。
Here, the
次に、図2を参照して、上述のデバイス管理を適切に行うことができない場合の例について説明する。図2では、かかる例として、DMサーバ10のダウンやネットワーク300の切断によって、デバイス20からDMサーバ10へのアクセスが不可能となり、アクセスログの報告を行う報告機能(デバイス管理機能)33を適切に実行することができない場合を示している。
Next, an example in the case where the above-described device management cannot be performed properly will be described with reference to FIG. In FIG. 2, as an example, the
かかる場合、デバイス管理装置1000は、外部記録媒体100へのアクセスを禁止(ロック)することによって、不正処理や不具合の防止を行う。
In such a case, the
具体的には、デバイス20の内部において、デバイス管理装置1000が、監視及びアクセスログの収集を行う監視機能(デバイス管理機能)32や、アクセスログの報告を行う報告機能(デバイス管理機能)33の実行を中断して、外部記録媒体100へのアクセスをロックするロック機能(デバイス管理機能)343を実行する。
Specifically, in the
さらに、本実施形態では、図2に示すデバイス状態から、DMサーバ10の復旧又はネットワーク300復旧によって、アクセスログの報告を行う報告機能(デバイス管理機能)33を適切に実行することができるようになる場合には、図1に示す通常のデバイス管理の状態(外部記録媒体へのアクセスログの収集及び報告を行う状態)に復旧させる。
Further, in the present embodiment, the report function (device management function) 33 for reporting the access log can be appropriately executed by the recovery of the
以下、かかるケースを実現するデバイス管理装置1000の構成について述べる。
Hereinafter, a configuration of the
図3に示すように、デバイス管理装置1000は、イベント検出部1100と、ポリシー管理部1200と、状態設定部1300と、デバイス管理実行部1400とを具備している。
As illustrated in FIG. 3, the
イベント検出部1100は、特定のデバイス管理イベントを検出するように構成されている。
The
具体的には、イベント検出部1100は、デバイス管理イベント2100が発生したことを検知し、検知したデバイス管理イベント2100が、第1のデバイス管理イベント2110に属しているのか、第2のデバイス管理イベント2120に属しているのか、或いは、第3のデバイス管理イベント2130に属しているのかについて決定し、かかる決定に応じて、状態設定部1300又はデバイス管理実行部1400へデバイス管理イベント2100を検知した旨を伝える。
Specifically, the
ここで、第1のデバイス管理イベント2110は、一般的なデバイス管理機能を起動する契機となる通常時のイベントであり、例えば、外部デバイスへのアクセスや、非接触ICカード(FeliCa等)からの信号や、タイマからの通知等が想定される。
Here, the first
第2のデバイス管理イベント2120は、デバイス管理を適切に行うことができない状況を開始する契機となる状態変化時のイベントであり、例えば、ネットワーク回線断や、DMサーバのダウンや、デバイスの電源断等が想定される。
The second
また、第3のデバイス管理イベント2130は、デバイス管理を適切に行うことができる状況に復旧する契機となる状態復元時のイベントであり、例えば、ネットワーク品質の良好化や、DMサーバの復旧や、デバイスの電源投入等が想定される。
Also, the third
例えば、イベント検出部1100は、各デバイス管理イベント2110乃至2130に属するデバイス管理イベントのリストを利用することによって、検知したデバイス管理イベント2100が第1乃至第3のデバイス管理イベント2110乃至2130のいずれに属しているかについて決定することができる。
For example, the
図4に、第1のデバイス管理イベント2110に属するデバイス管理イベントのリスト(第1のイベントリスト)の例を示し、図5に、第2のデバイス管理イベント2120に属するデバイス管理イベントのリスト(第2のイベントリスト)の例を示し、図6に、第3のデバイス管理イベント2130に属するデバイス管理イベントのリスト(第3のイベントリスト)の例を示す。
FIG. 4 shows an example of a list of device management events (first event list) belonging to the first
例えば、タイマからの通知や、外部記録媒体100にアクセスしたことによる外部記録インタフェースからの割り込みは、第1のデバイス管理イベントとして処理される。
For example, a notification from a timer or an interrupt from the external recording interface due to access to the
また、例えば、ネットワーク回線断や、DMサーバ10のダウンは、第2のデバイス管理イベント2120として処理される。
Further, for example, disconnection of the network line or down of the
また、例えば、ネットワークの復旧や、DMサーバ10の復旧は、第3のデバイス管理イベント2130として処理される。
Further, for example, network restoration and
イベント検出部1100は、ネットワークインタフェースからの割り込みを検知することで、ネットワーク回線断やネットワークの復旧について検知することができる。
The
また、イベント検出部1100は、DMサーバ10との通信を司る報告機能33からの通知により、DMサーバ10のダウンについて検知することができる。
Further, the
また、イベント検出部1100は、DMサーバ10からの通知により、DMサーバの復旧について検知することができる。
Further, the
後述するように、デバイス状態が、「第1の状態(デバイス管理を適切に行うことができる状態)」である場合に、イベント検出部1100は、第1のデバイス管理イベント2110又は第3のデバイス管理イベント2130を検知すると、その旨をデバイス管理実行部1400に通知し、第2のデバイス管理イベント2120を検知すると、その旨を状態設定部1300に通知する。
As will be described later, when the device state is the “first state (a state in which device management can be performed appropriately)”, the
また、同様に、デバイス状態が、「第2の状態(デバイス管理を適切に行うことが困難な状態)」である場合に、イベント検出部1100は、第1のデバイス管理イベント2110又は第2のデバイス管理イベント2120を検知すると、その旨をデバイス管理実行部1400に通知し、第3のデバイス管理イベント2130を検知すると、その旨を状態設定部1300に通知する。
Similarly, when the device state is the “second state (a state in which it is difficult to perform device management appropriately)”, the
ここで、「第1の状態」は、デバイス20に対する所定の管理(デバイス管理)を行うことが可能な状態であり、「第2の状態」は、デバイス管理を行うことが困難な状態である。
Here, the “first state” is a state in which predetermined management (device management) can be performed on the
状態設定部1300は、イベント検出部1100による特定のデバイス管理イベントの検出結果に応じて、デバイス状態を設定するように構成されている。
The
図7を参照して、状態設定部1300によって設定されるデバイス状態が遷移する様子について説明する。
With reference to FIG. 7, how the device state set by the
デバイス状態が、「第1の状態」である際に、イベント検出部100が、第1のデバイス管理イベント2110或いは第3のデバイス管理イベント2130を検知した場合には、状態設定部1300は、デバイス状態を「第1の状態」のまま保持する。
If the
また、デバイス状態が、「第1の状態(通常時)」である際に、イベント検出部1100が、第2のデバイス管理イベント2120を検知した場合には、状態設定1300は、デバイス状態を「第2の状態(DM不可時)」に変更する。
If the
一方、デバイス状態が、「第2の状態」である際に、イベント検出部1100が、第1のデバイス管理イベント2110或いは第2のデバイス管理イベント2120を検知した場合には、状態設定部1300は、デバイス状態を「第2の状態」のまま保持する。
On the other hand, when the device state is “second state” and the
また、デバイス状態が、「第2の状態」である際に、イベント検出部1100が、第3のデバイス管理イベント2130を検知した場合には、状態設定部1300は、デバイス状態を「第1の状態」に変更する。
If the
また、デバイス状態が、「第1の状態」である際に、イベント検出部1100が、第2のデバイス管理イベント2120を検出した後、一定時間内に、第1のデバイス管理イベント2110を検出しなかった場合にのみ、状態設定部1300は、デバイス状態を「第2の状態」に設定するように構成されていてもよい。
In addition, when the device state is “first state”, the
ポリシー管理部1200は、デバイス管理機能を特定する複数のデバイス管理ポリシー2200の中から、状態設定部1300により設定されているデバイス状態と、イベント検出部1100による特定のデバイス管理イベントの検出結果とに応じて、使用すべきデバイス管理ポリシーを設定するように構成されている。
The
ポリシー管理部1200は、使用すべきデバイス管理ポリシーとして選択したデバイス管理ポリシーを、デバイス管理実行部1400に通知する。
The
デバイス状態が、「第1の状態」である場合には、ポリシー管理部1200は、使用すべきデバイス管理ポリシーとして第1のデバイス管理ポリシー2210を設定(選択)し、デバイス状態が、「第2の状態」である場合には、ポリシー管理部1200は、使用すべきデバイス管理ポリシーとして第2のデバイス管理ポリシー2220を設定(選択)する。
When the device state is “first state”, the
例えば、デバイス状態が、「第1の状態」である際に、イベント検出部1110が、第2のデバイス管理イベント2120を検出した場合、状態設定部1130が、デバイス状態を「第2の状態」に設定し、ポリシー管理部1200は、第2の状態用のデバイス管理ポリシー(第2のデバイス管理ポリシー)を、使用すべきデバイス管理ポリシーとして設定する。
For example, when the device state is “first state” and the
ここで、デバイス管理ポリシー2200は、デバイス管理実行部1400において実行すべきデバイス管理機能を特定するものである。
Here, the
具体的には、第1のデバイス管理ポリシー2210は、第1のデバイス管理イベント2110或いは第3のデバイス管理イベント2130を検知した場合に、第1のデバイス管理機能2310を実行するように指示するものである。
Specifically, the first
一方、第2のデバイス管理ポリシー2220は、第1のデバイス管理イベント2110或いは第2のデバイス管理イベント2120を検知した場合に、第2のデバイス管理機能2320を実行し、第3のデバイス管理イベント2130を検知した場合に、第3のデバイス管理機能2330を実行するように指示するものである。
On the other hand, when the second
なお、ポリシー管理部1200は、DMサーバ10等からデバイス管理ポリシー2200をダウンロードするように構成されていてもよいし、企業管理部門によって配布されるスマートカード等からデバイス管理ポリシー2200をコピーすることによって取得するように構成されていてもよいし、デバイス20の出荷時に予め保持されているデバイス管理ポリシー2200を利用するように構成されていてもよい。
The
デバイス管理実行部1400は、デバイス20内に設けられているデバイス管理機能2300を実行することによって、デバイス20に対する所定の管理(デバイス管理)を行うように構成されている。
The device
具体的には、デバイス管理実行部1400は、イベント検出部1100による特定のデバイス管理イベント2100の検出結果と、状態設定部1300により設定されているデバイス状態とに応じて、実行すべきデバイス管理機能2300を決定するように構成されている。
Specifically, the device
詳述すると、デバイス管理実行部1400は、ポリシー管理部1200により設定されている「使用すべきデバイス管理ポリシー2200」によって特定されるデバイス管理機能2300を、実行すべきデバイス管理機能2300として決定するように構成されている。
More specifically, the device
なお、デバイス管理実行部1400は、イベント検出部1100による特定のデバイス管理イベント2100の検出結果に応じて、ポリシー管理部1200により設定されている「使用すべきデバイス管理ポリシー2200」によって特定されるデバイス管理機能2300を、実行すべきデバイス管理機能2300として決定するように構成されていてもよい。
The device
例えば、デバイス管理実行部1400は、デバイス状態が「第2の状態」であり、第1のデバイス管理イベント2110或いは第2のデバイス管理イベント2120が検出された場合には、第2のデバイス管理ポリシー2220によって特定される第2のデバイス管理機能2320を実行するように構成されている。
For example, when the device state is “second state” and the first
また、デバイス管理実行部1400は、デバイス状態が「第2の状態」であり、第3のデバイス管理イベント2130が検出された場合には、第2のデバイス管理ポリシー2220によって特定される第3のデバイス管理機能2330を実行するように構成されている。
In addition, when the device state is “second state” and the third
本実施形態では、デバイス管理実行部1400は、第1のデバイス管理機能2310(通常時)として、監視機能32を実行することによって、外部記録媒体100へのアクセスの監視及びアクセスログの収集を行うと共に、報告機能33を実行することによって、DMサーバ10へのアクセスログの報告を行う。
In this embodiment, the device
また、デバイス管理実行部1400は、第2のデバイス管理機能2320(状態変化時)として、ロック機能31を実行することによって、外部記録媒体100へのアクセス機能(特定の機能)をロックする(使用不可能とする)。
The device
また、デバイス管理実行部1400は、第3のデバイス管理機能2330(状態復元時)として、ロック機能31を実行することによって、外部記録媒体100へのアクセス機能のロックを解除する(外部記録媒体100へのアクセス機能を使用可能とする)。
Further, the device
なお、本実施形態のように、デバイス管理実行部1400が、第2のデバイス管理機能2320を実行することによって、外部記録媒体100へのアクセス機能をロックするケースだけでなく、企業の機密文書が漏洩するのを防ぐために、第2のデバイス管理機能(デバイス20における特定の情報を保護する機能)2320を実行することによって、機密文書を暗号化して、第3のデバイス管理機能(デバイス20における特定の情報を復元する機能)2330を実行することによって、暗号化した機密文書を復号するというケースも考えられる。
Note that, as in the present embodiment, the device
かかる場合、例えば、第2のデバイス管理機能2320が、機密文書である旨を示すフラグが予め付与されている文書全体(或いは、指定された部分等)を、3DESやRSA等のアルゴリズムを用いて暗号化する機能としてもよい。
In such a case, for example, the second
この際、第3のデバイス管理機能2330は、暗号化されている文書を記載しているリストに基づいて、特定の文書を復号する機能である。
At this time, the third
また、第2のデバイス管理機能2320が、ファイルシステムを利用して機密文書にアクセス属性を「不可」とする機能(特定の情報を保護する機能)とし、第3のデバイス管理機能2330は、アクセス属性を「可」に戻す機能(特定の情報を復元する機能)としてもよい。
In addition, the second
かかる場合、デバイス状態が、「第2の状態」になる以前に、第2のデバイス管理機能2320が、機密文書のアクセス属性を蓄積しておいてから、当該機密文書のアクセス属性を「不可」とし、第3のデバイス管理機能が、蓄積されている当該機密文書の適切なアクセス属性を取得し、アクセス属性を元に戻す。
In such a case, the second
ここで、デバイス状態が、「第1の状態」である際に、イベント検出部1110が、第1のデバイス管理イベント2110又は第3のデバイス管理イベント2130を検出した場合、デバイス管理実行部1400は、使用すべきデバイス管理ポリシーとして設定されている第1の状態用のデバイス管理ポリシー(第1のデバイス管理ポリシー)2210により特定される第1のデバイス管理機能2310を実行する。
If the
また、デバイス状態が、「第1の状態」である際に、イベント検出部1110が、第2のデバイス管理イベント2120を検出した場合、デバイス管理実行部1400は、使用すべきデバイス管理ポリシーとして設定されている第2の状態用のデバイス管理ポリシー(第2のデバイス管理ポリシー)2220により特定される第2のデバイス管理機能2320を実行する。
If the
(本発明の第1の実施形態に係るデバイス管理装置の動作)
図8乃至図11を参照して、本発明の第1の実施形態に係るデバイス管理装置1000の動作について説明する。
(Operation of the device management apparatus according to the first embodiment of the present invention)
The operation of the
第1に、図8を参照して、本実施形態に係るデバイス管理装置1000におけるイベント検出部1100の動作について説明する。
First, with reference to FIG. 8, the operation of the
図8に示すように、ステップS1001において、イベント検出部1100は、まず、各デバイス管理イベント2100が第1乃至第3のデバイス管理イベントのいずれに属するかについて振り分けるためのイベントリストを読み込む。
As shown in FIG. 8, in step S1001, the
ここで、イベントリストには、第2のデバイス管理イベントを列挙した第2のイベントリストと、第3のデバイス管理イベントを列挙した第3のイベントリストを含む。 Here, the event list includes a second event list that lists the second device management events and a third event list that lists the third device management events.
ステップS1002において、イベント検出部1100は、現在のデバイス状態を取得する。
In step S1002, the
ステップS1003乃至S1005(イベント待ちループ)において、イベント検出部1100は、デバイス管理イベントが到着するのを、デバイス管理終了まで待つ。
In steps S1003 to S1005 (event waiting loop), the
イベント検出部1110は、デバイス管理イベントが到着したことを検知すると、ステップS1006において、現在のデバイス状態が「第1の状態」である否についてチェックする。
When detecting that a device management event has arrived, the
現在のデバイス状態が「第1の状態」であると判定された場合、イベント検出部1110は、ステップS1011乃至S1013において、第2のイベントリストを利用し、第2のイベントリスト内に、検知したデバイス管理イベントが存在しているか否かについてチェックする。
When it is determined that the current device state is the “first state”, the
イベント検出部1110は、かかるデバイス管理イベントが第2のイベントリスト内に存在していると判定すると、ステップS1014において、デバイス管理イベントが到着したことを状態設定部1300へ通知し、ステップS1005に戻る。
If the
一方、イベント検出部1110は、かかるデバイス管理イベントが第2のイベントリスト内に存在していないと判定すると、ステップS1031において、デバイス管理イベントが到着したことをデバイス管理実行部1400へ通知しステップS1005に戻る。
On the other hand, when the
一方、ステップS1006において、現在のデバイス状態が「第1の状態」でない(すなわち、「第2の状態」である)と判定された場合、イベント検出部1110は、ステップS1021乃至S1023において、第3のイベントリストを利用し、第3のイベントリスト内に、検知したデバイス管理イベントが存在しているか否かについてチェックする。
On the other hand, when it is determined in step S1006 that the current device state is not the “first state” (that is, the “second state”), the
イベント検出部1110は、かかるデバイス管理イベントが第3のイベントリスト内に存在していると判定すると、ステップS1024において、デバイス管理イベントが到着したことを状態設定部1300へ通知し、ステップS1005に戻る。
If the
一方、イベント検出部1110は、かかるデバイス管理イベントが第3のイベントリスト内に存在していないと判定すると、ステップS1031において、デバイス管理イベントが到着したことをデバイス管理実行部1400へ通知しステップS1005に戻る。
On the other hand, when determining that the device management event does not exist in the third event list, the
ここで、イベント検出部1110は、イベント待ちループにおいて、デバイス管理の終了を検知した場合は、その動作を終了する。
Here, when detecting the end of device management in the event waiting loop, the
なお、イベント検出部1110は、ステップS1012において、第2のデバイス管理イベントを検知した場合、一定時間内に、第3のデバイス管理イベントを検知しなければ、ステップS1014の処理を行ってもよい。
Note that if the second device management event is detected in step S1012, the
この結果、デバイス管理装置1000全体の処理の効率がよくなる。例えば、デバイス20が、トンネル内を通過中である場合等、数秒間だけ、ネットワーク品質が劣化し、直ぐにネットワーク品質が良好になるケースの場合、デバイス状態を「第2の状態」に移行させることなく「第1の状態」のままにしておくほうが、処理が冗長とならない。
As a result, the processing efficiency of the entire
第2に、図9を参照して、本実施形態に係るデバイス管理装置1000における状態設定部1300の動作について説明する。
Secondly, with reference to FIG. 9, the operation of the
図9に示すように、ステップS1101において、状態設定部1300は、現在のデバイス状態を取得する。なお、初期状態では、デバイス状態は「第1の状態」であるものとする。
As illustrated in FIG. 9, in step S1101, the
ステップS1102乃至S1104(入力待ちループ)において、状態設定部1300は、イベント検出部1100からの通知を待つ。
In steps S1102 to S1104 (input waiting loop), the
状態設定部1300は、イベント検出部1100からの通知を検出した場合、ステップS1105において、現在のデバイス状態が「第1の状態」であるか否かについてチェックする。
When the
現在のデバイス状態が「第1の状態」であれば、ステップS1106において、状態設定部1300は、デバイス状態を「第2の状態」に設定する。
If the current device state is “first state”, in step S1106, the
一方、現在のデバイス状態が「第2の状態」であれば、ステップS1107において、状態設定部1300は、デバイス状態を「第1の状態」に設定する。
On the other hand, if the current device state is the “second state”, in step S1107, the
ステップS1108において、状態設定部1300は、ステップS1106又はS1107において設定したデバイス状態を、イベント検出部1100及びポリシー管理部1200に通知した後、ステップS1104に戻る。
In step S1108, the
ここで、状態設定部1300は、入力待ちループにおいて、デバイス管理の終了を検知した場合は、その動作を終了する。
Here, when the end of device management is detected in the input waiting loop, the
第3に、図10を参照して、本実施形態に係るデバイス管理装置1000におけるポリシー管理部1200の動作について説明する。
Third, the operation of the
図10に示すように、ステップS1201乃至S1203(ポリシー変更ループ)において、ポリシー管理部1200は、状態設定部1300からの通知を待つ。
As shown in FIG. 10, in steps S1201 to S1203 (policy change loop), the
ポリシー管理部1200は、状態設定部1300からの通知を検出した場合、ステップS1204において、現在のデバイス状態を読み込み、ステップS1205において、現在のデバイス状態が「第1の状態」であるか否かについてチェックする。
If the
現在のデバイス状態が「第1の状態」である場合は、ポリシー管理部1200は、ステップS1208において、使用すべきデバイス管理ポリシーとして第1のデバイス管理ポリシーを選択(設定)する。
If the current device state is “first state”, the
一方、デバイス状態が「第2の状態」である場合は、ポリシー管理部1200は、ステップS1206において、使用すべきデバイス管理ポリシーとして第2のデバイス管理ポリシーを選択(設定)する。
On the other hand, if the device state is “second state”, the
ステップS1207において、ポリシー管理部1200は、ステップS1206又はS1208において選択(設定)したデバイス管理ポリシーをデバイス管理実行部1400に通知した後、ステップS1203に戻る。
In step S1207, the
なお、ポリシー管理部1200は、ポリシー変更ループにおいて、デバイス管理の終了を検知した場合は、その処理を終了する。
If the
第4に、図11を参照して、本実施形態に係るデバイス管理装置1000におけるデバイス管理実行部1400の動作について説明する。
Fourth, the operation of the device
図11に示すように、ステップS1301において、デバイス管理実行部1400は、ポリシー管理部1200によって選択されているデバイス管理ポリシー(すなわち、ポリシー管理部1200によって使用すべきデバイス管理ポリシーとして設定されているデバイス管理ポリシー)を取得する。
As shown in FIG. 11, in step S1301, the device
ここで、デバイス管理ポリシーには、通常時に(すなわち、第1の状態において)使用すべき第1のデバイス管理ポリシー2210と、デバイス管理を適切に行うことができない状態の時に(すなわち、第2の状態において)使用すべき第2のデバイス管理ポリシーとがある。
Here, the device management policy includes a first
ステップS1301では、デバイス管理実行部1400は、初期状態である第1のデバイス管理ポリシー2210を取得するものとする。
In step S1301, the device
ステップS1302乃至S1305(イベント待ちループ)において、デバイス管理実行部1400は、ポリシー管理部1200又はイベント検出部1100からの通知を待つ。
In steps S1302 to S1305 (event wait loop), the device
デバイス管理実行部1400は、ステップS1303において、ポリシー管理部1200からの通知を検出した場合は、ステップS1311において、かかる通知に従って、該当するデバイス管理ポリシーを取得した後、ステップS1304に戻る。
If the device
デバイス管理実行部1400は、ステップS1304において、イベント検出部1100からの通知を検出した場合は、ステップS1306において、イベント検出部1100からの通知に応じて、実行すべきデバイス管理機能を選択し、ステップS1307において、選択したデバイス管理機能を実行した後、ステップS1305に戻る。
If the device
なお、デバイス管理実行部1400は、イベント待ちループにおいて、デバイス管理の終了を検知した場合は、その処理を終了する。
If the device
第5に、図1及び図2に示す例を参照して、本実施形態に係るデバイス管理装置1000の全体動作について説明する。なお、デバイス状態の初期状態は「第1の状態」であるものとする。
Fifth, the overall operation of the
ステップA1において、イベント検出部1100は、予め与えられた時刻になったこと(タイマからの通知)を検知すると、第1のデバイス管理イベント2110が発生したことを理解し、デバイス管理実行部1400に対して、第1のデバイス管理イベントを検知した旨を通知する。
In step A1, when the
ステップA2において、デバイス管理実行部1400は、ポリシー管理部1200によって予め設定されていた第1のデバイス管理ポリシー2210に従って、第1のデバイス管理機能2310として、一定時間、外部記録媒体100へのアクセスを監視してアクセスログを収集する監視機能32、及び、アクセスログをDMサーバ10へ報告する報告機能33を実行する。
In step A2, the device
ステップA3において、一定時間が終了すると、デバイス管理実行部1400は、第1のデバイス管理機能2310(監視機能32及び報告機能33)の実行を停止する。
In step A3, when the predetermined time is over, the device
ステップA4において、イベント検出部1100が、ネットワーク回線断が発生したことを検知すると、第2のデバイス管理イベント2120が発生したことを理解し、状態設定部1300に対して、第2のデバイス管理イベントを検知した旨を通知する。
In step A4, when the
ステップA5において、状態設定部1300は、デバイス状態を「第2の状態」に設定し、その旨をイベント検出部1100及びポリシー管理部1200に通知する。
In step A5, the
ステップA6において、ポリシー管理部1200は、使用すべきデバイス管理ポリシーとして第2のデバイス管理ポリシー2220を選択し、その旨をデバイス管理実行部1400に通知する。
In step A6, the
以降、イベント検出部1100が、第1のデバイス管理イベント2110及び第2のデバイス管理イベント2120を検知した旨を、デバイス管理実行部1400に通知する度に、デバイス管理実行部1400は、第2のデバイス管理ポリシー2220に従って、第2のデバイス管理機能2320として、外部記録媒体100へのアクセスのロックを行うロック機能31を実行する。
Thereafter, each time the
ステップA7において、イベント検出部1100が、ネットワークが復旧したことを検知すると、第3のデバイス管理イベント2130が検知されたことを理解し、状態設定部1300及びデバイス管理実行部1400に対して、第3のデバイス管理イベント2130を検知した旨を通知する。
In step A7, when the
ここで、デバイス20からネットワークに対するアクセスを試みることが可能であるため、セルラー回線や無線LANのネットワークの復旧を検知することは可能である。
Here, since it is possible to attempt to access the network from the
ステップA8において、デバイス管理実行部1400は、第2のデバイス管理ポリシー2220に従い、第3のデバイス管理機能2330として、外部記録媒体100へのアクセスのロックを解除するロック機能31を実行する。
In step A <b> 8, the device
ステップA9において、状態設定部1300は、デバイス状態を「第1の状態」に設定し、その旨をイベント検出部1100及びポリシー管理部1200に通知する。
In step A9, the
ステップA10において、ポリシー管理部1200は、使用すべきデバイス管理ポリシーとして第1のデバイス管理ポリシー2210を選択(設定)し、その旨をデバイス管理実行部1400に通知する。
In step A10, the
以降、イベント検出部1100が、第1のデバイス管理イベント2110及び第3のデバイス管理イベント2130を検知した旨を、デバイス管理実行部11400に通知する度に、デバイス管理実行部1400は、使用すべきデバイス管理ポリシーとして設定されている第1のデバイス管理ポリシーに従って、第1のデバイス管理機能を実行する。
Thereafter, whenever the
上述のように、デバイス状態が、「第2の状態」である際に、イベント検出部1100が、第3のデバイス管理イベント2130を検出した場合、デバイス管理実行部1400が、使用すべきデバイス管理ポリシーとして設定されている第2の状態用のデバイス管理ポリシー(第2のデバイス管理ポリシー)2220により特定されている第3のデバイス管理機能2330を実行した後、状態設定部1300が、デバイス状態を「第1の状態」に設定し、ポリシー管理部1200は、第1の状態用のデバイス管理ポリシー(第1のデバイス管理ポリシー)2210を、使用すべきデバイス管理ポリシーとして設定するように構成されている。
As described above, when the
(本発明の第1の実施形態に係るデバイス管理装置の作用・効果)
本発明の第1の実施形態に係るデバイス管理装置1000によれば、状態設定部1300が、イベント検出部1100によるデバイス管理イベント2100(第1乃至第3のデバイス管理イベント2110乃至2130)の検出結果に応じて、様々なデバイス状態(第1の状態又は第2の状態)を設定し、デバイス管理実行部1400が、かかるデバイス状態に応じて、様々なデバイス管理ポリシー2200に応じたデバイス管理(DMエージェントを用いた遠隔監視)を実行することが可能である。
(Operations and effects of the device management apparatus according to the first embodiment of the present invention)
According to the
本発明の第1の実施形態に係るデバイス管理装置1000によれば、デバイス状態(第1の状態又は第2の状態)の変化前に実行されていたデバイス管理機能2300(第1乃至第2のデバイス管理機能2310乃至2330)及び発生したデバイス状態(第1の状態又は第2の状態)の変化の両方を考慮した柔軟なデバイス管理を行うことが可能となる。
According to the
本発明の第1の実施形態に係るデバイス管理装置1000によれば、デバイス管理実行部1400が、検知されたデバイス状態の遷移に合致したデバイス管理ポリシー2200により特定されるデバイス管理機能2300(第1乃至第2のデバイス管理機能2310乃至2330)を実行することが可能となる。
According to the
本発明の第1の実施形態に係るデバイス管理装置1000によれば、検出されたデバイス管理イベント2100が、バッテリの低下やネットワーク回線断であったような場合に、モバイル端末等のデバイス20において発生しがちな一時的なバッテリの低下やネットワーク回線断といったデバイス管理イベント2100を無視して、デバイス管理に掛かるコストを削減することが可能となる。
According to the
本発明の第1の実施形態に係るデバイス管理装置1000によれば、例えば、デバイス管理機能の実行が著しく制限されるようなデバイス状態において、特定の情報(例えば、機密文書)を保護することで、デバイス20からの情報流出等を防ぐことが可能となる。
According to the
本発明の第1の実施形態に係るデバイス管理装置1000によれば、第3のデバイス管理イベント2130を検知したことにより、デバイス状態を第2の状態から第1の状態に復元する際、まず、その時点において設定されている第2のデバイスポリシー2220に従った第3のデバイス管理機能2330を実行し、その上でデバイス状態を元通りに設定するように構成されているため、デバイス状態を元に戻す前に、デバイス状態を第1の状態に復元するための特別なデバイス管理機能(外部記録媒体100へのアクセス機能を使用可能とする機能や、機密文書を復号する機能等)を実行することが可能となる。
According to the
本発明の第1の実施形態に係るデバイス管理装置1000によれば、デバイス状態が変化することによりアクセスすることが不可能となっていた特定の情報(例えば、機密情報)に再びアクセスすることが可能となる。
According to the
本発明の第1の実施形態に係るデバイス管理装置1000によれば、通常のデバイス管理を行うことが困難な特殊なデバイス状態(第2の状態)において、特殊なデバイス管理ポリシー2300を設定し、かかるデバイス状態用の特殊なデバイス管理を実行可能となる。
The
本発明の第1の実施形態に係るデバイス管理装置1000によれば、例えば、デバイス管理機能2300の実行が著しく制限されるようなデバイス状態(第2の状態)において、特定の機能(例えば、外部記録媒体へのアクセス機能)を使用不可能とすることで、不正行為や不具合等を防ぐことが可能となる。
According to the
(第2の実施形態に係るデバイス管理装置)
図12乃至図17を参照して、本発明の第2の実施形態に係るデバイス管理装置1000について説明する。以下、本発明の第2の実施形態に係るデバイス管理装置1000について、上述の第1の実施形態に係るデバイス管理装置1000との相違点に着目して説明する。
(Device management apparatus according to the second embodiment)
A
本実施形態に係るデバイス管理装置1000の構成は、第1の実施形態に係るデバイス管理装置1000の構成と同一であるが、本実施形態は、図12に示すように、デバイス管理装置1000外のデバイス内部或いはデバイス外部に、イベント蓄積部2400設けられていることが特徴である。
The configuration of the
イベント蓄積部2400は、デバイス状態が「第2の状態」にある場合にイベント検出部1100により検出された第1のデバイス管理イベント2110を蓄積するように構成されている。
The
イベント蓄積部2400に蓄積されている第1のデバイス管理イベント2110は、デバイス管理装置1000のデバイス状態が「第2の状態」から「第1の状態」に正しく復元する際に利用される。
The first
本実施形態では、図13及び図14に示すように、デバイス20が、非接触ICカード400を内蔵しており、社員が、非接触ICカード400を利用して、各オフィスシステムを利用するシナリオを想定する。
In the present embodiment, as shown in FIGS. 13 and 14, a scenario in which the
具体的には、本実施形態に係る非接触ICカード400は、オフィスへの入退室を管理する入退室機能410と、PCへのログイン機能420とを備えている。
Specifically, the
社員が、非接触ICカード400をリーダ400A(例えば、FeliCaリーダ)に対してかざすことにより、入退室機能410及びログイン機能420が働くものとする。
It is assumed that the entrance / exit function 410 and the
すなわち、社員は、非接触ICカード400を、オフィス入り口に用意されたリーダ400Aにかざすことにより、オフィスへの入室が可能であり、非接触ICカード400を、オフィス出口に用意されたリーダ400Aにかざすことにより、オフィスからの退室が可能となる。
That is, the employee can enter the office by holding the
また、社員は、非接触ICカード400を、PCに備え付けられたリーダ400Aにかざすことにより、PCへのログインが可能となる。
Further, the employee can log in to the PC by holding the
さらに、入退室機能410及びログイン機能420は、以下のような規則により互いに連携するものとする。
Furthermore, the entrance / exit function 410 and the
・ 社員が、オフィスに入室することにより、PCへのログイン機能420が有効(使用可能)となる。
-When an employee enters the office, the
・ 社員が、オフィスから退室した場合には、基本的に、PCへのログイン機能420が無効(使用不可能)となる。
-When an employee leaves the office, basically, the
・ PCのオフィス外における利用が許可されている場合に限り、社員が、オフィスから退室した後でも、サーバ経由でPCへのログイン機能420が有効となる。
-Only when the use of the PC outside the office is permitted, the
・ 上述のような非接触ICカードのログイン機能の有効化/無効化は、DMサーバ10経由で行われる。
The validation / invalidation of the login function of the non-contact IC card as described above is performed via the
ここで、ログイン機能420は、上述のように、ユーザのオフィスの入退室状況(特定の状況)に応じて、使用可能又は使用不可能になる、例えば、PCにログイン可能であるか否かについて決定する第1のデバイス管理機能としての役割を果たす。
Here, as described above, the
図13及び図14を参照して、本実施形態に係るデバイス管理装置1000を用いたデバイス管理(入退室管理及びログイン管理)を実現するシステムについて説明する。
A system for realizing device management (entrance / exit management and login management) using the
具体的には、かかるシステムは、非接触ICカード400の入退室機能410と、ログイン機能420と、デバイス管理装置1000と、入退室イベントをDMサーバ10に通知するイベント通知機能34と、かかる通知に伴いログイン機能420を有効化(使用可能)或いは無効化(使用不可能)するDMサーバ10とを具備する。
Specifically, the system includes an entry / exit function 410, a
社員のオフィスへの入室時に、非接触ICカード400が、リーダ400Aにかざされた場合、デバイス管理装置1000は、入退室機能410を介して入室イベントを検知する。
When the
デバイス管理装置1000は、入室イベントの検知に伴い、イベント通知機能34を起動(実行)して、DMサーバ10に対して、検知した入室イベントを通知する。DMサーバ10は、ログイン機能420を有効化して、オフィス内でのPCへのログインを可能とする。
The
また、社員のオフィスからの退室時に、非接触ICカード400が、リーダ400Aにかざされた場合、入室時の場合と同様に、DMサーバ10に対して、退室イベントが通知される。
Further, when the
DMサーバ10は、当該デバイスのユーザである社員が、オフィス外でのPCの利用が許可されているか否かについて判断し、許可されている場合には、ログイン機能410を有効化する。
The
上述の処理が、正常に行われれば、正当なユーザ以外は、オフィス外でのPCの利用が不可能となるはずである。しかし、上述の通りに、デバイス管理を適切に行うことができない場合がある。 If the above-described processing is performed normally, a non-authorized user should not be able to use the PC outside the office. However, as described above, device management may not be performed properly.
かかる場合の例として、図14に示す状況が想定される。かかる例では、デバイスの電源断等により、DMエージェント30自体が、入退室イベントを検知できないものとする。
As an example of such a case, the situation shown in FIG. 14 is assumed. In such an example, it is assumed that the
一般的に、モバイル端末等のデバイス20に備えられている非接触ICカード400は、微弱な電力を以って動作することが可能であるため、デバイス20の電源が切れている状態であっても、非接触ICカード400に備えられている入退室機能410やログイン機能420は使用可能である。
In general, the
しかしながら、このような状態では、デバイス20上のソフトウェアであるDMエージェント30は、動作しないため、DMサーバ10に対して、入退室イベントを通知するイベント検知機能34が動作することができない。
However, in such a state, since the
従って、ユーザが、オフィスに入室した状態で、デバイス20の電源を切った場合、ログイン機能420が無効化されないまま、ユーザが、オフィスから退室することが可能となってしまう。
Accordingly, when the user turns off the
このような状況を防止するために、例えば、デバイス20の電源が、当該デバイス20に備えられている電源ボタンの長押しにより切断される場合には、デバイス管理装置1000が、かかるデバイス20の電源断のイベントを検知し、イベント検知機能34を利用して、その旨をDMサーバ10に対して通知し、DMサーバ10によりログイン機能420を無効化する。
In order to prevent such a situation, for example, when the power source of the
この結果、ユーザが、デバイス20の電源を切った状態で、オフィスから退室した場合でも、ログイン機能420が有効化されることはなく、オフィス外でのPCの利用は不可能となる。
As a result, even when the user leaves the office with the
ここで、バッテリを抜くことによって、デバイス20の電源を切断した場合については考慮していない。デバイス管理装置1000が、このようなイベントを検知することは困難であるが、元々バッテリがない状態では、非接触ICカード400自体が動作しないため、入退室やログイン自体が不可能となり、オフィス外で不正にPCが使用されるような懸念はない。
Here, the case where the power source of the
さらに、上述のように、ログイン機能420が強制的に無効化されてデバイス20の電源が切断された後、デバイス20の電源が再び入れられる場合について考える。
Furthermore, as described above, consider the case where the
かかる場合、ユーザが、オフィス内或いはオフィス外のいずれにいる場合であっても、PCの使用を許可されていた場合には、ログイン機能420を有効にする必要がある。
In such a case, it is necessary to enable the
また、オフィス外にいて、PCの使用が許可されていない場合には、ログイン機能420は、無効化にされたままである必要がある。
Further, when the user is outside the office and the use of the PC is not permitted, the
上述のように、正常な状態への復元を実現するために、本実施形態では、デバイス20の内部或いはデバイス20の外部に、当該デバイス20の電源が切断されている間に発生した入退室イベントを検知して蓄積するイベント蓄積部2400が備わっているものと仮定する。
As described above, in order to realize restoration to a normal state, in this embodiment, an entry / exit event that occurs inside the
例えば、入退室機能420が、かかるイベント蓄積部2400を具備することが可能である。上述の通り、デバイス20の電源が切れている間であっても、非接触ICカード400及び入退室機能420は、動作可能であるため、イベント蓄積部2400が、入退室機能420に備えられているとすると、デバイス20の電源が切れている間に発生した入退室イベントを蓄積することができる。
For example, the entrance /
ただし、本実施形態では、ユーザは、オフィスに入室しているか或いはオフィスから退室しているかのどちらかの状態にあることが明白であるため、イベント蓄積部2400は、一度、退室イベントを蓄積した場合には、それ以前に蓄積されていた入室イベントについて破棄することができる。
However, in this embodiment, since it is clear that the user is either in the office or has left the office, the
また、同様に、イベント蓄積部2400は、一度、入出イベントを蓄積した場合には、それ以前に蓄積されていた退室イベントについて破棄することができる。
Similarly, when the
再び、デバイス20に電源が投入された場合には、デバイス管理装置1000は、その旨を検知して、イベント蓄積部2400に蓄積されている入退室イベントに基づき、イベント通知機能34を実行することにより、デバイス20を正常な状態へ復元することが可能である。
When the
ここで、図15乃至図17に、本実施形態に係るイベント検出部1100によって検出される第1乃至第3のデバイス管理イベントのリストを例示する。
Here, FIGS. 15 to 17 exemplify lists of first to third device management events detected by the
図15に、第1のデバイス管理イベント2110に属するデバイス管理イベントのリスト(第1のイベントリスト)の例を示し、図16に、第2のデバイス管理イベント2120に属するデバイス管理イベントのリスト(第2のイベントリスト)の例を示し、図17に、第3のデバイス管理イベント2130に属するデバイス管理イベントのリスト(第3のイベントリスト)の例を示す。
FIG. 15 shows an example of a list of device management events (first event list) belonging to the first
本実施形態では、第2のイベントリストのうち「ID=0」のデバイス管理イベント(デバイスの電源断)が発生した場合に、状態設定部1300は、デバイス状態を「第2の状態」に移行し、第3のイベントリストのうち「ID=0」のデバイス管理イベント(デバイスの電源復旧)が発生した場合に、状態設定部1300は、デバイス状態を「第1の状態」に復元する。
In the present embodiment, when a device management event (device power-off) “ID = 0” in the second event list occurs, the
ここで、本実施形態において、「第1の状態」は、正常にデバイス20が動作している状態であり、「第2の状態」は、デバイス20の電源が切れている状態(イベント検出部1100によってデバイス管理イベント2100を検出することができない状態)である。
Here, in the present embodiment, the “first state” is a state in which the
また、本実施形態において、「第1のデバイス管理イベント2110」は、入退室イベントであり、「第2のデバイス管理イベント2120」は、電源を切るために電源ボタンが長押しされるイベントであり、「第3のデバイス管理イベント2130」は、デバイスの電源投入である。
In the present embodiment, the “first
さらに、本実施形態では、「第1のデバイス管理機能2310」は、DMサーバ10に対する入退室イベントの通知であり、「第2のデバイス管理機能2320」は、DMサーバ10に対するデバイス20の電源断の通知であり、「第3のデバイス管理機能2330」は、イベント蓄積部2400に蓄積されている入退室イベントのDMサーバ10への通知である。
Furthermore, in the present embodiment, the “first
加えて、「第1のデバイス管理ポリシー2210」は、デバイスによる入退室イベントの検知時に、その旨をDMサーバ10に通知することを規定し、「第2のデバイス管理ポリシー2220」は、デバイス20の電源断についてDMサーバ10に通知すること及びデバイス20の電源断の間に蓄積された入退室イベントについてDMサーバ10に通知することを規定する。
In addition, the “first
上述のような置き換えを行い、かつ、デバイス管理装置1000が第1の実施形態と同等の動作を行うことによって、本実施形態に係るシステムを実現することが可能である。
It is possible to realize the system according to the present embodiment by performing the replacement as described above and the
ここで、本実施形態では、イベント蓄積部2400は、複数の第1のデバイス管理イベント2110をまとめて別の第1のデバイス管理イベント2110に変更するように構成されていてもよい。
Here, in the present embodiment, the
例えば、イベント蓄積部2400は、複数の第1のデバイス管理イベント2110として「入室イベント+退室イベント+入室イベント」を蓄積している場合、これらの第1のデバイス管理イベント2110をまとめて「入室イベント」として蓄積するように構成されていてもよい。
For example, when the
本発明の第2の実施形態に係るデバイス管理装置1000によれば、例えば、第1のデバイス管理機能2310が、特定の状況(ユーザのオフィスの入退室状況)に応じて、使用可能になったり使用不可能となったりするような制限機能(ログイン機能)である場合、第1のデバイス管理機能2310の実行を行うことができないデバイス状態(第2の状態)となり、上述の特定の状況(ユーザのオフィスの入退室状況)を検知できない場合に,当該第1のデバイス管理機能2310(ログイン機能)を予め使用不可能としておいて、最も制限の厳しいデバイス管理を行う状態を維持することが可能となる。
According to the
本発明の第2の実施形態に係るデバイス管理装置1000によれば、デバイス状態が第2の状態である期間に発生していた第1のデバイス管理イベント2110を蓄積するイベント蓄積部2400が、蓄積されている第1のデバイス管理イベント2110の意味を理解し、当該第1のデバイス管理イベント2110の集合(「入室イベント+退室イベント+入室イベント」)を、同じ意味を持つ別の第1のデバイス管理イベント2110(「入室イベント」)へ変換するように構成されているため、イベント蓄積部2400に蓄積されている第1のデバイス管理イベント2110をまとめて、より少ない第1のデバイス管理イベント2110へに変換することにより、第1のデバイス管理イベント2110の蓄積コスト、及び、デバイス状態の復元時におけるデバイス管理機能2300の実行コストを削減することが可能となる。
According to the
(第3の実施形態に係るデバイス管理装置)
図18乃至図20を参照して、本発明の第3の実施形態に係るデバイス管理装置1000について説明する。以下、本発明の第3の実施形態に係るデバイス管理装置1000について、上述の第1又は第2の実施形態に係るデバイス管理装置1000との相違点に着目して説明する。
(Device management apparatus according to the third embodiment)
A
本実施形態では、第2の実施形態において、「第2の状態」が、デバイス20の電源断である状態はなく、DMサーバ10がダウンである状態である場合について考える。
In the present embodiment, a case is considered in which, in the second embodiment, the “second state” is a state in which the
本実施形態と第2の実施形態との間で異なる部分は、デバイス管理装置1000が、DMサーバ10のダウン中に発生した入退室イベントを蓄積するイベント蓄積部1110を備えることである。
The difference between the present embodiment and the second embodiment is that the
図19を参照して、DMサーバ10のダウン及び復帰時の動作について説明する。
With reference to FIG. 19, an operation when the
DMサーバ10がダウン中は、デバイス管理装置1000及び非接触ICカード400とも正常に動作するが、DMサーバ10がダウンしているため、入退室イベントが発生した場合であっても、デバイス管理装置1000は、イベント通知機能34を実行することによって、入退室イベントをDMサーバ10に通知することはできない。
While the
かかる場合、社員(ユーザ)のオフィスからの退室時に、ログイン機能420を使用不可とすることができないため、第2の実施形態の場合と同様に、社員がオフィスに入室している状態であっても、ログイン機能420を使用不可として、オフィス外での不正なPCの使用を防止する必要があるが、DMサーバ10がダウンしている状況では、かかる処理を行うことも不可能である。
In such a case, since the
そのため、DMサーバ10がダウンした時点で、デバイス管理装置1000は、デバイス無効化機能35を起動し、非接触ICカード400自体を無効化することで、ログイン機能420を無効化することができる。
Therefore, when the
例えば、デバイス20の設定により非接触ICカード400の利用を禁止したり、対応するデバイスドライバをOSから抹消したりすることで、ログイン機能420を無効化することができる。
For example, the
また、デバイス管理装置1000におけるイベント蓄積部1110は、DMサーバ10のダウン中に発生した入退室イベントを蓄積し、DMサーバ10が復旧してデバイス管理機能2300を実行することができる状態になれば、かかるデバイス管理機能2300を実行して、正常なデバイス状態へ復旧する。
In addition, the
ここで、図15乃至図17に、本実施形態に係るイベント検出部1100によって検出される第1乃至第3のデバイス管理イベントのリストを例示する。
Here, FIGS. 15 to 17 exemplify lists of first to third device management events detected by the
図15に、第1のデバイス管理イベント2110に属するデバイス管理イベントのリスト(第1のイベントリスト)の例を示し、図16に、第2のデバイス管理イベント2120に属するデバイス管理イベントのリスト(第2のイベントリスト)の例を示し、図17に、第3のデバイス管理イベント2130に属するデバイス管理イベントのリスト(第3のイベントリスト)の例を示す。
FIG. 15 shows an example of a list of device management events (first event list) belonging to the first
本実施形態では、第2のイベントリストのうち「ID=1」のデバイス管理イベント(DMサーバのダウン)が発生した場合に、状態設定部1300は、デバイス状態を「第2の状態」に移行し、第3のイベントリストのうち「ID=1」のデバイス管理イベント(DMサーバの復旧)が発生した場合に、状態設定部1300は、デバイス状態を「第1の状態」に復元する。
In the present embodiment, when a device management event (DM server down) of “ID = 1” in the second event list occurs, the
ここで、本実施形態において、「第1の状態」は、正常にデバイス20が動作している状態であり、「第2の状態」は、DMサーバ20がダウンしている状態である。
Here, in the present embodiment, the “first state” is a state in which the
また、本実施形態において、「第1のデバイス管理イベント2110」は、入退室イベントであり、「第2のデバイス管理イベント2120」は、DMサーバ10がダウンしたことを通知するイベントであり、「第3のデバイス管理イベント2130」は、DMサーバ10が復旧したことを通知するイベントである。
In the present embodiment, the “first
かかる通知は、例えば、SMS(Short Message Service)によるpush機能によって実現される。 Such notification is realized by, for example, a push function by SMS (Short Message Service).
さらに、「第1のデバイス管理機能2310」は、DMサーバ10に対する入退室イベントの通知であり、「第2のデバイス管理機能2320」は、DMサーバ10に対するデバイス20の電源断の通知であり、「第3のデバイス管理機能2330」は、イベント蓄積部2400に蓄積されている入退室イベントのDMサーバ10への通知である。
Further, the “first
このように、「第3のデバイス管理機能2330」は、少なくとも、イベント蓄積部2400に蓄積されている入退室イベント(第1のデバイス管理イベント)2110に対するデバイス管理機能を含む。
As described above, the “third
具体的には、「第3のデバイス管理機能2330」は、「第2の状態」において、第1のデバイス管理イベントとしてイベント蓄積部2400に蓄積されていた入退室イベントを、「第1の状態」に復旧した後に、DMサーバに通知(アップロード)するという「第1のデバイス管理イベントに対するデバイス管理機能」を含む。
Specifically, the “third
さらに、本実施形態では、「第1のデバイス管理機能2310」は、DMサーバ10への入退室イベントの通知であり、「第2のデバイス管理機能2320」は、デバイス無効化機能35による非接触ICカード400の無効化であり、「第3のデバイス管理機能2330」は、イベント通知機能34によるイベント蓄積部1110に蓄積された入退室イベントのDMサーバ10への通知である。
Further, in the present embodiment, the “first
加えて、「第1のデバイス管理ポリシー2210」は、デバイスによる入退室イベントの検知時に、その旨をDMサーバ10に通知することを規定し、「第2のデバイス管理ポリシー2220」は、DMサーバ10のダウン中にイベント蓄積部1110に蓄積されていた入退室イベントのDMサーバ10への通知を規定する。
In addition, the “first
ここで、デバイス無効化機能35は、デバイス20における特定の機能(ログイン機能420及び入退室機能410)を使用不可能とする第2のデバイス管理機能としての役割を果たす。
Here, the
また、デバイス無効化機能35は、デバイス状態が「第2の状態」である間に使用不可能となっていたデバイス20における特定の機能(ログイン機能420及び入退室機能410)を使用可能とする第3のデバイス管理機能としての役割を果たす。
Further, the
次に、図20を参照して、本実施形態に係るデバイス管理装置1000におけるイベント検出部1100の動作について説明する。本実施形態では、イベント検出部1100は、サブセットとして、イベント蓄積部1110を具備している。
Next, the operation of the
本実施形態におけるイベント検出部1100の動作が、図8に示す第1の実施形態におけるイベント検出部1100の動作と異なる点は、ステップS1423及びS1426である。
The operation of the
ステップS1423において、イベント検出部1100は、デバイス状態が「第2の状態」にある間、第3のイベントリストに記載されていないと判定されたデバイス管理イベントを、イベント蓄積部1110に蓄積する。
In step S <b> 1423, the
また、ステップS1426において、イベント検出部1100は、イベント蓄積部1110に蓄積されたデバイス管理イベントを、デバイス管理実行部1400に対して通知し、第3のデバイス管理機能として実行させる。
In step S1426, the
この結果、イベント検出部1100は、DMサーバ10のダウン中に検出された第3のデバイス管理イベント2130に属さないデバイス管理イベント(すなわち、第1のデバイス管理イベント2110)である入退室イベントを、イベント蓄積部1110に蓄積することができる。
As a result, the
上述のように、イベント蓄積部1110に蓄積されているデバイス管理イベントに応じて、デバイス管理機能を有効化或いは無効化することにより(すなわち、実行すべきデバイス管理機能を決定することにより)、デバイス20を正しい状態に復元可能である。
As described above, by enabling or disabling the device management function according to the device management event stored in the event storage unit 1110 (that is, by determining the device management function to be executed), the
なお、1つもデバイス管理イベント2100が蓄積されていないのであれば、単純にデバイス状態が「第2の状態」に移行する前の状態に復元すればよい。
If no
上述の例では、デバイス状態が「第2の状態」へ移行する前に、ログイン機能420が有効であったなら、かかるログイン機能420を有効にすればよい。
In the above example, if the
上述のように、本実施形態では、イベント検出部1100が、第3のデバイス管理イベント2130を検出し、状態設定部1300が、デバイス状態を「第1の状態」に設定し、ポリシー管理部1200が、第1のデバイス管理ポリシー2110を、使用すべきデバイス管理ポリシーとして設定した場合に、デバイス管理実行部1400は、イベント蓄積部2400に蓄積されている第1のデバイス管理イベント2110(「入室イベント+退室イベント+入室イベント」)に応じて、実行すべきデバイス管理機能2300を決定するように構成されていてもよい。
As described above, in this embodiment, the
すなわち、ポリシー管理部1200は、第1の状態用のデバイス管理ポリシー(第1のデバイス管理ポリシー2110)により特定される第1のデバイス管理機能2310に応じて、第2の状態用のデバイス管理ポリシー(第2のデバイス管理ポリシー2120)により特定すべき第2のデバイス管理機能を決定する。
That is, the
また、イベント蓄積部の別の実現方法について説明する。 Also, another method for realizing the event storage unit will be described.
以下、かかるイベント蓄積部を、上述のイベント蓄積部1110と区別して、管理状況蓄積部1120と呼ぶことにする。
Hereinafter, such an event storage unit is referred to as a management status storage unit 1120 in distinction from the
管理状況蓄積部1120は、上述のように、第1のデバイス管理イベント2110が、2種類(入室又は退室)しかない場合に有効である。
As described above, the management status storage unit 1120 is effective when the first
管理状況蓄積部1120は、「第1の管理状況」として、デバイス状態が「第1の状態」から「第2の状態」に遷移する直前の管理状況を蓄積し、「第2の管理状況」として、デバイス状態が「第2の状態」から「第1の状態」に遷移する直前の管理状況を蓄積する。 The management status accumulation unit 1120 accumulates the management status immediately before the device status transitions from the “first status” to the “second status” as the “first management status”. As described above, the management status immediately before the device state transitions from the “second state” to the “first state” is stored.
そして、「第1の管理状況」と「第2の管理状況」との間で変化があった場合、デバイス管理実行部1400は、第3のデバイス管理機能2330を実行する。
When there is a change between the “first management status” and the “second management status”, the device
つまり、「第1の管理状況」が、社員のオフィス内への入室状態を表し、「第2の管理状況」が、社員のオフィス外への退室状態を表すなら、ログイン機能420を無効化すればよい。
In other words, if the “first management status” represents the employee entering the office and the “second management status” represents the employee leaving the office, the
また、「第1の管理状況」が、社員のオフィス外への退室状態を表し、「第2の管理状況」が、社員のオフィス内への入室状態を表すなら、ログイン機能420を有効化すればよい。
Also, if the “first management status” represents the employee leaving the office and the “second management status” represents the employee entering the office, the
本発明の第3の実施形態に係るデバイス管理装置1000によれば、デバイス管理イベント2100の検出が不可能となるようなデバイス状態の変化(第1の状態から第2の状態への変化)が発生した場合に、イベント蓄積部1110により蓄積されているデバイス状態が第2の状態である期間に発生していた第1のデバイス管理イベント2110を参照することで、デバイス状態を第1の状態に復元する際に実行するデバイス管理機能2300は、かかる期間に発生していた第1のデバイス管理イベント2110(入退出イベント)に応じたデバイス管理機能2300を実行する(有効化又は無効化する)ように構成されているため、かかる期間に行われるはずであったデバイス管理機能(ログイン機能)の実行が可能となり、より正確にデバイス状態を復元することが可能となる。
According to the
本発明の第3の実施形態に係るデバイス管理装置1000によれば、デバイス状態が第2の状態から第1の状態に移行する際、第2の状態中に管理状況が変化した場合にのみ、第3のデバイス管理機能2330を実行することができ、デバイス管理機能の実行コストを削減することが可能となる。
According to the
以上、上述の実施形態を用いて本発明について詳細に説明したが、当業者にとっては、本発明が本明細書中に説明した実施形態に限定されるものではないということは明らかである。本発明は、特許請求の範囲の記載により定まる本発明の趣旨及び範囲を逸脱することなく修正及び変更態様として実施することができる。従って、本明細書の記載は、例示説明を目的とするものであり、本発明に対して何ら制限的な意味を有するものではない。 Although the present invention has been described in detail using the above-described embodiments, it is obvious to those skilled in the art that the present invention is not limited to the embodiments described in this specification. The present invention can be implemented as modified and changed modes without departing from the spirit and scope of the present invention defined by the description of the scope of claims. Accordingly, the description of the present specification is for illustrative purposes and does not have any limiting meaning to the present invention.
1000…デバイス管理装置
1100…イベント検出部
1200…ポリシー管理部
1300…状態設定部
1400…デバイス管理実行部
10…DMサーバ
20…デバイス
30…DMエージェント
31…ロック機能
32…監視機能
33…報告機能
100…外部記録装置
300…ネットワーク
2400…イベント蓄積部
1000 ...
Claims (17)
特定のデバイス管理イベントを検出するイベント検出部とを具備し、
前記デバイス管理実行部は、前記特定のデバイス管理イベントの検出結果と、デバイス状態とに応じて、実行すべき前記デバイス管理機能を決定することを特徴とするデバイス管理装置。 A device management execution unit that performs predetermined management for the device by executing a device management function provided in the device;
An event detection unit for detecting a specific device management event,
The device management execution unit determines the device management function to be executed according to a detection result of the specific device management event and a device state.
前記デバイス管理機能を特定する複数のデバイス管理ポリシーの中から、前記状態設定部により設定されている前記デバイス状態と、前記特定のデバイス管理イベントの検出結果とに応じて、使用すべきデバイス管理ポリシーを設定するポリシー管理部とを具備し、
前記デバイス管理実行部は、前記ポリシー管理部により設定されている前記使用すべきデバイス管理ポリシーによって特定されるデバイス管理機能を、前記実行すべきデバイス管理機能として決定することを特徴とする請求項1に記載のデバイス管理装置。 A state setting unit for setting the device state according to a detection result of the specific device management event;
A device management policy to be used according to the device status set by the status setting unit and the detection result of the specific device management event from among a plurality of device management policies that specify the device management function And a policy management unit for setting
The device management execution unit determines, as the device management function to be executed, a device management function specified by the device management policy to be used set by the policy management unit. The device management apparatus described in 1.
前記デバイス状態が、前記第1の状態である際に、前記イベント検出部が、第2のデバイス管理イベントを検出した場合、前記状態設定部は、該デバイス状態を第2の状態に設定し、前記ポリシー管理部は、該第2の状態用のデバイス管理ポリシーを前記使用すべきデバイス管理ポリシーとして設定することを特徴とする請求項2に記載のデバイス管理装置。 If the event detection unit detects a first device management event when the device state is the first state, the state setting unit holds the device state in the first state. ,
When the device state is the first state and the event detection unit detects a second device management event, the state setting unit sets the device state to the second state, The device management apparatus according to claim 2, wherein the policy management unit sets the device management policy for the second state as the device management policy to be used.
前記ポリシー管理部は、前記第1の状態用のデバイス管理ポリシーにより特定される第1のデバイス管理機能に応じて、前記第2の状態用のデバイス管理ポリシーにより特定すべき前記第2のデバイス管理機能を決定することを特徴とする請求項4に記載のデバイス管理装置。 When the device state is the first state, the device management execution unit specifies the first state specified by the device management policy for the first state set as the device management policy to be used. Perform device management functions,
The policy management unit is configured to specify the second device management to be specified by the device management policy for the second state in accordance with the first device management function specified by the device management policy for the first state. The device management apparatus according to claim 4, wherein a function is determined.
前記第2の状態は、前記イベント検出部によって前記デバイス管理イベントを検出することができない状態であり、
前記第3のデバイス管理機能は、少なくとも、前記イベント蓄積部に蓄積されている前記第1のデバイス管理イベントに対するデバイス管理機能を含むことを特徴とする請求項10に記載のデバイス管理装置。 The event accumulation unit accumulates the first device management event detected by the event detection unit,
The second state is a state where the event detection unit cannot detect the device management event,
The device management apparatus according to claim 10, wherein the third device management function includes at least a device management function for the first device management event stored in the event storage unit.
前記イベント検出部が、前記第3のデバイス管理イベントを検出し、前記状態設定部が、前記デバイス状態を前記第1の状態に設定し、前記ポリシー管理部が、前記第1のデバイス管理ポリシーを前記使用すべきデバイス管理ポリシーとして設定した場合に、前記デバイス管理実行部は、前記イベント蓄積部に蓄積されている前記第1のデバイス管理イベントに応じて、前記実行すべきデバイス管理機能を決定することを特徴とする請求項10に記載のデバイス管理装置。 The event accumulation unit accumulates the first device management event detected by the event detection unit when the device state is in the second state,
The event detection unit detects the third device management event, the state setting unit sets the device state to the first state, and the policy management unit sets the first device management policy. When the device management policy to be used is set, the device management execution unit determines the device management function to be executed according to the first device management event stored in the event storage unit. The device management apparatus according to claim 10.
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006330610A JP2008146213A (en) | 2006-12-07 | 2006-12-07 | Device management device |
| CN2007800451894A CN101548272B (en) | 2006-12-07 | 2007-12-07 | Device managing device |
| PCT/JP2007/073694 WO2008069314A1 (en) | 2006-12-07 | 2007-12-07 | Device managing device |
| KR1020097011769A KR101033628B1 (en) | 2006-12-07 | 2007-12-07 | Device managing device |
| TW096146840A TW200834442A (en) | 2006-12-07 | 2007-12-07 | Device managing device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006330610A JP2008146213A (en) | 2006-12-07 | 2006-12-07 | Device management device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008146213A true JP2008146213A (en) | 2008-06-26 |
Family
ID=39492189
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006330610A Pending JP2008146213A (en) | 2006-12-07 | 2006-12-07 | Device management device |
Country Status (5)
| Country | Link |
|---|---|
| JP (1) | JP2008146213A (en) |
| KR (1) | KR101033628B1 (en) |
| CN (1) | CN101548272B (en) |
| TW (1) | TW200834442A (en) |
| WO (1) | WO2008069314A1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724051A (en) * | 2011-03-30 | 2012-10-10 | 中兴通讯股份有限公司 | Communication method and communication equipment for low-cost user equipment |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005021506A (en) * | 2003-07-04 | 2005-01-27 | Glory Ltd | Game medium dispensing system |
| WO2006064764A1 (en) * | 2004-12-16 | 2006-06-22 | Sega Corporation | Game machine management device having penalty function, game device, operation program thereof, and penalty setting server |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4120803B2 (en) * | 2002-11-05 | 2008-07-16 | 三菱電機株式会社 | User equipment capture system |
| US20040252197A1 (en) * | 2003-05-05 | 2004-12-16 | News Iq Inc. | Mobile device management system |
-
2006
- 2006-12-07 JP JP2006330610A patent/JP2008146213A/en active Pending
-
2007
- 2007-12-07 CN CN2007800451894A patent/CN101548272B/en not_active Expired - Fee Related
- 2007-12-07 KR KR1020097011769A patent/KR101033628B1/en not_active IP Right Cessation
- 2007-12-07 WO PCT/JP2007/073694 patent/WO2008069314A1/en active Application Filing
- 2007-12-07 TW TW096146840A patent/TW200834442A/en not_active IP Right Cessation
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005021506A (en) * | 2003-07-04 | 2005-01-27 | Glory Ltd | Game medium dispensing system |
| WO2006064764A1 (en) * | 2004-12-16 | 2006-06-22 | Sega Corporation | Game machine management device having penalty function, game device, operation program thereof, and penalty setting server |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724051A (en) * | 2011-03-30 | 2012-10-10 | 中兴通讯股份有限公司 | Communication method and communication equipment for low-cost user equipment |
| CN102724051B (en) * | 2011-03-30 | 2017-10-03 | 中兴通讯股份有限公司 | Communication means and communication equipment for low-cost user equipment |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20090084926A (en) | 2009-08-05 |
| CN101548272B (en) | 2012-07-04 |
| TWI357558B (en) | 2012-02-01 |
| TW200834442A (en) | 2008-08-16 |
| CN101548272A (en) | 2009-09-30 |
| KR101033628B1 (en) | 2011-05-11 |
| WO2008069314A1 (en) | 2008-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2409257B1 (en) | Mitigations for potentially compromised electronic devices | |
| CN103514386B (en) | Permission control and management method of application program and electronic device | |
| EP2812842B1 (en) | Security policy for device data | |
| JP5976221B2 (en) | Information backup method and apparatus | |
| KR101408746B1 (en) | Privacy management for tracked devices | |
| CN101884210A (en) | System and method for managing operation of a system based at least in part on a component of the system being physically accessible | |
| KR20130134946A (en) | Method for providing mobile device security management and mobile device security system there of | |
| KR100918844B1 (en) | Security apparatus and method for all-in-one mobile devices using security profile | |
| US20190073271A1 (en) | Device backup and wipe | |
| JP2008052390A (en) | Audit log storage control method and information leakage monitoring program | |
| JP2008146213A (en) | Device management device | |
| KR100458550B1 (en) | Data delete detecting and recovering system and methode thereof | |
| JP6065791B2 (en) | Control program and information processing terminal | |
| JP2010140159A (en) | Authentication device | |
| JP2010114751A (en) | Device and method for managing log information | |
| JP2013109407A (en) | Power control system, power control method, and computer program | |
| JP2009217803A (en) | Information processing system and information processing program | |
| JP2010049365A (en) | File management system | |
| JP2009117918A (en) | Terminal control server, terminal control system, and the terminal control method | |
| KR101473661B1 (en) | Method and apparatus for managing data of mobile device | |
| WO2018073858A1 (en) | Recovery method, terminal, and device | |
| US20100132054A1 (en) | System and Method for Securing a Computer System | |
| JP5379901B2 (en) | File management system | |
| CN103646216A (en) | Method and device for monitoring folder of terminal | |
| US20120254572A1 (en) | Information terminal and security management method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091002 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120515 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20121002 |